Персональные данные сотрудников и как их собирать, хранить, передавать. Пособие для руководителя

Нормативная база

При обработке персональных данных необходимо руководствоваться следующими нормативно-правовыми актами:

• ст. 24 Конституции РФ — определяет, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»;
• гл. 14 ТК РФ — регулирует правила работы с персональными данными персонала;
• Закон № 152-ФЗ «О персональных данных» (далее — закон о персональных данных) — даёт определение ключевым понятиям, вводит условия обработки персональных данных, права сторон и так далее.

Что такое персональные данные работника?

Персональные данные — сведения, которые косвенно или прямо относятся к определенному человеку и позволяют его идентифицировать. К ним относятся ФИО, место и дата рождения, место жительства, информация об образовании и так далее.

ст. 3 Закона № 152-ФЗ «О персональных данных»

HR-менеджер или руководитель аптеки должны правильно работать с персональными данными, чтобы исключить риск получения штрафов со стороны Роскомнадзора. Как правило, при ведении личных карточек или личных дел сотрудников им приходятся иметь дело с такими документами, которые содержат персональные данные, как:

• анкета при приёме на работу;
• копия паспорта сотрудника;
• копия или оригинал трудовой книжки;
• трудовой договор;
• документы об образовании и квалификации сотрудника;
• документы воинского учёта;
• СНИЛС или документ о регистрации в системе персучета;
• справка о доходах и суммах налога с предыдущего места работы;
• копия или оригинал приказа по личному составу и т.д.

Все эти документы предполагают выполнение обработки персональных данных.

Обработка персональных данных — это действие или их совокупность, которые совершаются в отношении персональных данных человека, вручную или помощи средств автоматизации.

Обработка включает такие действия как: запись, сбор, накопление, систематизацию, уточнение, хранение, обновление, изменение и другие.

Каких работодателей касаются правила о персональных данных?

Любой организации, где есть хотя бы один сотрудник. ИП и организации, которые заключили трудовой договор, несут ответственность за утечку информации о частной жизни сотрудников.

Работодатели являются операторами персональных данных, которые собирают сведения хранят их в кадровых документах, передают их в пенсионный фонд и налоговую на основании статей 3 и 7 закона о персональных данных.

Требования к работе с информацией не меняется от количества сотрудников.

Согласие на обработку персональных данных

Для обработки работодателю требуется получить от работника письменное согласие. Согласие необходимо получить до начала обработки полученных сведений.

Хранение персональных данных сотрудников

Работодатель может сам определить порядок хранения данных в соответствии со ст. 87 ТК РФ. Для этого требуется разработать локальных акт, например «Положение о порядке хранения и защиты персональных данных пользователей». Он будет регулировать все моменты, связанные с хранением данных сотрудников. При приёме работников на работу следует их ознакомить с локальным актом под роспись.

Трудовые договоры, книжки и дополнительные соглашения и приказы можно хранить в оригинале. Документы, представленные для ознакомления, хранят в копиях. К таким документам относятся паспорт, документы об образовании, свидетельство о браке и другие.

Кадровые документы, которые относятся к личному делу, может хранить в отдельной папке.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить сведения о сотрудниках можно руководствоваться следующей инструкцией:

1. Подготовить и утвердить локальный нормативный акт. Подписи можно собирать на обратной стороне документа.
2. Определить ответственного. Этот момент определяет ст. 22.1 закона о персональных данных. Ответственное лицо должно предоставить обязательство о неразглашении, после чего оно будет отвечать за получение согласия сотрудников и защиту документов. В ИП ответственным лицом обычно выступает сам предприниматель.
3. Получить от каждого сотрудника письменное согласие на обработку персональных данных. Отсутствие согласия — частая причина для штрафа со стороны контролирующих органов. Иногда в типовой форме договора для микропредприятия присутствует строка о согласии на обработку информации — в этом случае отдельного документа не требуется. Если аптека планирует получать информацию о сотрудниках от третьих лиц (рекомендации с прошлого места работы), согласие должно включать и этот пункт.
4. Обеспечить хранение данных в надёжном месте. Меры безопасности определяет работодатель в соответствии со ст. 18.1 закона о персональных данных. Для хранения можно использовать ящик на замке или сейф, к которым доступ будет только у ответственного лица. Если информация хранится в электронном виде, в соответствии со ст. 18 закона о персональных данных её можно хранить только на российских серверах.
5. Уничтожить информацию следует полностью. Неактуальные документы нельзя хранить на всякий случай или выбрасывать в мусорное ведро. Их следует мелко порвать или воспользоваться шредером. Электронные данные нужно удалить без сохранения копий.

Как правило, работодателю не требуется информировать Роскомнадзор о сборе и хранении данных. Однако если аптека планирует пользоваться персональными данными не только в бухгалтерии или кадровых документах, уведомление отправить требуется в соответствии со ст. 22 закона о персональных данных.

Что делать с данными кандидата, которого не взяли на работу?

Предоставленную соискателем информацию следует уничтожить в течение 30 дней.

Что делать с персональными данными уволенных сотрудников?

В течение четырёх лет работодатель должен хранить документы, которые требуются для исчисления, удержания и перечисления налога. Этот момент определяет пп. 5 п. 3 ст. 24 Налогового Кодекса. Согласие сотрудника в этом случае не требуется.

После этого личные дела переходят на архивное хранение на 75 лет.

Что будет за нарушение закона о персональных данных?

За ошибки или утечку персональных данных предусмотрена административная, гражданская или уголовная ответственность.

Работу с персональными данными контролируют Роскомнадзор и прокуратура.

Административная ответственность

Как правило, штрафы назначаются при избыточном сборе данных (организация собирает информацию, которая не требуется для оформления сотрудника), отсутствии согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа для юридических лиц может достигать 500 000 рублей.

Административная ответственность не зависит от реальной опасности для владельца персональных данных, достаточно самого факта нарушения закона.

Гражданско-правовая ответственность

Основной причиной гражданско-правовой ответственности является получение морального вреда сотрудником. Он может возникнуть, если из-за работодателя станут известны факты из частной жизни работника.

Дела о моральном вреде рассматривает суд по иску сотрудников. Размер компенсации зависит от наступивших последствий.

Уголовная ответственность

Для уголовной ответственности важен реальный вред, который был нанесён семейной или личной жизни сотрудника. Это происходит при публичной утечке данных, например через Интернет или СМИ. Этот момент определён в ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

Санкции достигают нескольких сотен тысяч рублей и даже лишения свободы на срок до 4 и запрета заниматься определенной деятельностью. Но такие дела в отношении аптек практически не встречаются.

Источники:
Закон № 152-ФЗ «О персональных данных»
Трудовой кодекс
Уголовный кодекс